Amazon S3は、どのような形式のデータもおいていただける汎用のクラウドストレージサービスですが、データを暗号化して置いて頂くには、ご自身で、暗号化して戴く必要がありました。(追記 2011/10/06: これまでも、Amazon S3では、クライアントサイドの暗号化のサポートとして、AWS SDK for Javaで暗号化をサポートしてきました)
今回の発表により、このAmazon S3に、サーバーサイド暗号化 (Server Side Encryption - SSE)の機能が実装されました。これにより、データを暗号化した形式で保存いただくことが非常に簡単になります。S3に新しいオブジェクト(S3に置くファイルのこと)を保存するときに暗号化することもできますし、既存のオブジェクトをコピーする際に暗号化することも可能です。この機能は日本市場の企業ユーザから非常に求められていたもので、特に、センシティブなデータを保存するお客様や、コンプライアンス対応が必要なお客様にとっては朗報に違いありません。
Amazon S3のサーバーサイド暗号化は、暗号化、復号化(復号)、鍵管理の全てを自動化します。オブジェクトをPUT(保存)したり、暗号化の要求を出すと、AWS側でユニークキーを発行し、そのキーでデータを暗号化し、そのキーをマスターキーで暗号化します。さらにセキュリティを高めるために、キーそのものは、データが保存されたものとは異なるホストに保存されています。下記が、データを保存する際のコンセプト図です。
暗号化されたデータの復号化についても、特にユーザー側で意識する必要はありません。暗号化データをGETする際は、キーを取り出して復号化し、それを使ってデータを復号化します。ちなみに、GETリクエストの返答として、追加のヘッダーを加え、そのデータがAmazon S3の中に暗号化形式で保存されていたことをお報せします。
暗号化アルゴリズムとしては、256ビットの利用可能な暗号アルゴリズムの中でも強固なもののひとつであるAES-256を用いています。Amazon S3の低冗長化オプションであるReduced Redundancy Storagを用いて頂く際にも、データの暗号化を利用頂けます。暗号化、鍵管理、復号化の全体のプロセスは、既存の監査プロセスの一部として、AWS内部で定常的に監査を行っています。
また、Amazon S3ののバケットポリシーを用いると、バケットやオブジェクトレベルで、暗号化に関して許可、必須、禁止などの権限管理も行うことができます。もちろん、 AWS Management Consoleを用いて、オブジェクトのアップロードの際に暗号化できますし、暗号化したオブジェクトにアクセスすることもできます。
より詳細については、Amazon S3のディベロッパーガイドのUsing Encryption(暗号化)をご参照くださいませ。
玉川憲 (@KenTamagawa)
PS. サーバーサイド暗号化を使うには、追加のコストは必要ありません!